Oh, ha csak ilyen egyszerű lenne a kérdés...
Vajon mit nevezünk fizettethető biztonsági hibának? Olyan kondíciót, amin keresztül a termék helyileg privilégiumszint emelését okozza, vagy ami távolról kihasználható, vagy más az is elég, ha merevre fagyasztja a gépet?
Mi van akkor, ha egy rendszerszintű hívás hibás alkalmazása (értsd: nem dokumentált OS bugra pacsál rá a fejlesztő) miatt lesz biztonsági lyuk? Mi van akkor, ha adott rendszerkomponens frissítése után keletkezik a hiba?
Vajon ki fizet, ha az adott termékben felhasznált open-source komponens hibája miatt kerül a biztonsági hiba a kódba?
Ki fizet akkor, ha a termék azért jelent biztonsági kockázatot, mert implementációs eltérés van valamely szabvány az OS és az alkalmazás közt, és ebből az OS implementációja a hibás, viszont a javítása esetén az adott OS teljes szoftveres ökoszisztémáját érintené?
Mi van az open-source fejlesztőkkel? Vajon mi lenne, ha szénné perelnék mondjuk az Apache teamet, a bugjaik miatt?
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "